import pymysql

"""
通过用户名获取用户信息
"""
# 　创建连接对象和游标对象
conn = pymysql.connect(user='root', password='root', database='advanced', charset='utf8')
cursor = conn.cursor()

# 　执行sql语句
name = input('姓名:')   # 如果输入这个 name = ' or 1=1 or '  是把sql语句泄露了
# sql注入解决的占位符,不需要引号包裹
sql = "SELECT * FROM student WHERE stu_name = %s"
print(sql)
add = cursor.execute(sql, [name])
if add:
    # 获取结果集
    students = cursor.fetchall()
    print(students)
else:
    print('没有需要找的学生')
# 关闭资源
cursor.close()
conn.close()